資通安全管理
資通安全目的與範圍
- 對象:
包括員工、客戶、股東和供應商,以及營運相關資訊資產。
- 範圍:
為確保本公司之資訊安全,制定相關規章制度,並納入管理運作體系,以保障員工、客戶和供應商進行業務接洽時之營業秘密保護及資訊安全維護。
資通安全風險架構
- 本公司已設置資安長及資安主管各1名,並由總經理室召集成立跨事業部資通安全管理小組,配合台塑企業資訊安全管理組織規劃,與各業務相關單位落實執行,以確認本公司資通安全管理運作之有效性。
- 本公司總經理室規劃負責制定資通安全作業辦法及管理政策,每年資通安全管理小組至少召開一次資安會議,檢討修訂管理政策及執行情形。
- 除定期召開資安會議檢討外,每年至少一次向董事會報告執行情形,最近一次提董事會報告日期為2022年6月10日。
資通安全政策目標
- 確保本公司營運業務持續運作及提供資訊服務的穩定使用。
- 確保本公司所保管的資訊資產之機密性(Confidentiality)、完整性(Integrity)及可用性(Availability),並保障營業秘密安全。
- 為導入ISO 27001安全管理系統,自2022年3月起著手準備泰山機房驗證工作,2022年12月29日順利通過台灣檢驗科技股份有限公司(SGS)查核驗證作業,並取得ISO/IEC 27001:2013 ,效期至2025年10月31日止。
資通安全控制措施及管理方案
- 定期執行資訊安全宣導作業,每年辦理資訊安全教育訓練及社交工程演練,以強化員工資安意識。
- 公司重要資訊基礎設施,如資通機房等均會設置門禁管制設施,並同時設置CCTV系統,以管制並記錄人員的進出,同時確保相關資訊基礎設施的實體安全。
- 公司機房設置有防火牆(Firewall)機制來阻隔外來的入侵,且電子商務環境使用之防火牆採用雙層式防火牆架構,並每年抽檢防火牆設定規則。
- 員工資訊帳號、密碼與權限應善盡保管與使用責任,並定期換置及設定密碼複雜度需求。
- 公司電腦皆已安裝防毒軟體,且病毒碼每日更新,並禁止使用未經授權及非法軟體。
- 員工上網、電子郵件及網路安全隔離皆有建立管制及過濾機制,並具備DDoS防範、主動威脅防禦(IPS)、惡意網址過濾及進階持續性威脅攻擊防禦(APT)等功能,針對入侵攻擊主動進行阻擋,以維護網路安全。
- 為避免資料遭受破壞及勒索病毒風險,公司重要文件與資料均會進行備份,且資料存取權限都須經授權後才可進行存取。
- 為避免資料在非經許可的狀態下被他人取得,公司重要文件與資料均會以加密方式儲存,相關電腦作業與文件存取權限都須經授權後方可進行。
- 員工於外部辦公時,需透過VPN機制來存取企業網路資源,並監控是否有異常行為。
- 訂有資訊安全事件的回應及通報標準程序,針對不同資訊安全事件訂定分級處理及應對措施,以避免損害擴大。
- 全體人員應遵守法律規範與資訊安全政策要求,主管人員應督導員工落實情況,並強化資安認知及法令觀念。
2022年投入資通安全管理之資源及宣導
- 為確保資通安全管理政策之有效性及推動落實,共召開2次會議檢討資安推動工作計畫與目標,並檢視運作情形及執行成果,以修改目標及政策與控制措施。
- 為提升全員資安意識,辦理「線上資訊安全教育訓練」,共計10,977人次參加,總時數5,489小時。
- 辦理「AEO供應鏈安全」線上教育訓練,共計3,647人次完成,受訓1,824時數小時。
- 辦理資安專人及資訊人員「資安教育訓練-資安概論暨最新駭客網路攻擊手法介紹」,共計61人次參加,總時數183小時。
- 為提升員工警覺意識,辦理員工電子郵件社交工程演練,共計3,179人次參加,員工點擊信件連結比率為9.5%。